Achei excelente esse post! É uma dúvida muito comum no desenvolvimento WEB e já vi muito conteúdo superficial sobre.

Depois que descobri que guardar o token JWT no LocalStorage traz vulnerabilidades passei a usar a abordagem de enviar por cookies HttpOnly, como mencionado. Deu um pouco mais de trabalho no início e bati um pouco a cabeça com as configs do cookie, mas se serve para evitar problemas de segurança precisamos mudar a abordagem ASAP.